Kako biti zaštićen od najnovije sigurnosne ranjivosti na eBayu

  • Michael Cain
  • 0
  • 3200
  • 869
Oglas

EBay ima reputaciju sigurnosnih praksi koje nisu manje od zvijezda, a čini se da se uskoro neće popraviti. Nedavno izložena sigurnosna ranjivost dovodi neke korisnike u opasnost, a eBay je odlučio izdati samo djelomični ispravak, umjesto potpunog.

Evo što trebate znati o ranjivosti, kako funkcionira i kako ostati siguran.

Aktivni sadržaj, prevare XSS i eBay

Posebna sigurnosna ranjivost dotična je “aktivni sadržaj,” koje prodavači mogu ugraditi u svoje oglase. Aktivni sadržaj može koristiti različite tehnologije kako bi opis predmeta bio zanimljiviji ili korisniji - to može biti mala Flash aplikacija, JavaScript izbornik, web anketa ili bilo što drugo što je ugrađeno i interaktivno. U oglasu prikazanom ispod, riječ je o skripti koja se zove “xsellgalleryscript” koji vas pokušava natjerati da kupujete druge stvari od prodavatelja.

U većini slučajeva aktivni sadržaj je potpuno siguran. Blago je neugodno, ali sigurno. Međutim, kod skriptiranja na više web lokacija (XSS) Što je skripta na više mjesta (XSS) i zašto je to prijetnja sigurnosti Što je skripta na više mjesta (XSS) i zašto je to sigurnosna prijetnja Ranjivosti skriptiranja na više web lokacija su najveće problem sigurnosti web stranica danas. Studije su otkrile da su šokantno česte - 55% web stranica sadrži XSS ranjivosti u 2011. godini, prema posljednjem izvješću White Hat Securitya objavljenom u lipnju ..., a skripta smještena na drugoj web lokaciji može se učitati na eBay stranicu, a ta skripta moglo bi biti bilo što - moglo bi preuzeti zlonamjerni softver, pokušati lažirati svoje korisničke vjerodajnice ili stvoriti druge vrste nereda. Naravno, s obzirom da je ovaj napad prilično čest, eBay koristi filtre koji ga pokušavaju spriječiti.

Nažalost, netko je pronašao put. Koristi tehniku ​​nazvanu JSF * ck, fascinantan način za pisanje JavaScript koda koristeći samo šest znakova: [] ()! +. S dvije zagrade, dvije zagrade, uskličnikom i znakom plus možete stvoriti i pokrenuti bilo koji JavaScript kôd.

To je zabavna vježba, poput Brainf ** k jezika za programiranje 10 Jezika programiranja koji vjerojatno niste čuli od 10 jezika programiranja koji vjerovatno niste čuli. Postoje vrlo čudni i bizarni programski jezici koji su logiku pretvorili u glavu i još uvijek su uspjeli ostati vjeran znanosti komunikacije s računalom. Ti ćeš… . No može se koristiti i za eBayeve filtre.

Tvrtka za cyber-sigurnost nazvana Check Point prvo je prijavila ovu ranjivost i izjavila da se ona može koristiti na radnoj površini ili putem iOS ili Android aplikacija za preuzimanje zlonamjernog softvera ili preusmjeravanje korisnika na phishing stranice na kojima mogu nenamjerno dati korisničke vjerodajnice. Evo video napada u akciji:

Check Point je demonstrirao i prijavio ovu ranjivost na eBay u prosincu 2015., očekujući da će ažurirati svoj softver kako bi spriječili eksploataciju. Prema BBC-u, eBay je u siječnju rekao Check Check-u da ne planiraju popraviti ranjivost, već da su implementirali djelomičnu popravku u veljači. Zašto samo djelomična popravka? “[I] Važno je shvatiti da su zlonamjerni sadržaji na našem tržištu neobično neuobičajeni,” eBay je rekao za BBC.

Unatoč inzistiranju eBaya da je rizik od ove vrste napada izuzetno nizak, zaštitarska tvrtka Netcraft izvijestila je da se aktivno koristi za lažno predstavljanje e-adresa potencijalnih kupaca. Šta točno koristi krađa i kakve tehnike koriste prevaranti? Što je to lažno predstavljanje i kakve tehnike koriste prevaranti? Nikad nisam bio ljubitelj ribolova. To je uglavnom zbog rane ekspedicije u kojoj je moj rođak uspio uhvatiti dvije ribe dok sam ulovio zip. Slično kao u stvarnom ribolovu, lažne prevare nisu… i potiču ih da izvrše plaćanje putem usluge lažne dekorije. A prijevara je djelovala - Netcraft je podijelio snimke molbe uznemirenog korisnika nakon što su im eBay, policija i banka rekli da im ne mogu pomoći..

Kako se zaštititi od XSS ranjivosti na eBayu

Sve dok eBay ne riješi u potpunosti ovaj problem, postoji šansa da naiđete na popis koji je prijevara ugrožio i izložio sebi rizik. Međutim, možete učiniti nekoliko stvari kako biste smanjili rizik da budete uhvaćeni.

Prvo što biste trebali učiniti je osigurati da u svom pregledniku koristite sposobnost klika za reprodukciju. Chrome ima ugrađenu ovu mogućnost, Firefox ima popularno NoScript proširenje, a Safari korisnici mogu instalirati JS Blocker 5. To će spriječiti učitavanje bilo koje skripte, osim ako im posebno ne date dozvolu. Ne biste ih trebali učitavati na eBay, ali ako to učinite, možete ih omogućiti jednim klikom.

Ako omogućite dodatke, morat ćete biti izuzetno budni da biste bili sigurni da vas ne iskorištavaju. Kad god želite kliknuti Kupi sada, Napraviti ponudu, ili Ponuda vezu na eBayu, provjerite je li URL u vašem pregledniku ebay.com, a ne nešto drugo. Ako vas krali lažni identitet, domena će biti nešto drugo, a ne ebay.com.

Ako upotrebljavate mobilnu aplikaciju eBay, obavezno dvaput provjerite URL bilo koje povezane stranice, posebno ako vas pita za podatke za prijavu na eBay. I ne preuzimajte nijednu drugu aplikaciju! Aplikacija eBay neće vas potaknuti da preuzmete nešto drugo. Kako kaže Brian Krebs, jedan od najboljih sigurnosnih blogera u svojim 3 osnovna pravila za internetsku sigurnost, ako ga niste tražili, nemojte ga instalirati!

Osim toga, to su standardne sigurnosne mjere na mrežnom tržištu. Komunicirajte samo putem web stranice, a ne putem e-pošte, bez obzira na sve. Ne klikajte na veze u e-mailovima sa eBaya, samo idite na ebay.com u slučaju da je e-mail stigao od prevare. Provjerite jesu li veze na web mjestu sigurne 8 načina da se osigura da li je veza sigurna prije nego što na nju kliknete 8 načina da provjerite je li veza sigurna prije nego što je kliknete Hiperlinkovi, kao što svi znamo da su to načini koji čine web. No, baš kao i pauci, digitalni web može uhvatiti u koštac s ničim sumnjivim. Čak i oni poznatiji među nama kliknu na linkove koji… prije nego što ih upotrebite. Koristite jaku lozinku Kako stvoriti jake lozinke koje odgovaraju vašoj osobnosti Kako stvoriti jake lozinke koje odgovaraju vašoj osobnosti Bez jake lozinke brzo biste se mogli naći na kraju primanja cyber zločina. Jedan od načina stvaranja nezaboravne lozinke mogao bi biti uspoređivanje s vašom osobnošću. , i redovito ga mijenjajte. Sve redovno “čuvaj se” savjeti koje dijelimo cijelo vrijeme primjenjuju se i ovdje.

Nemojte vas uhvatiti ova e -ay prevara za skrivne skripte na eBayu

Zaštita od prevare na eBayu 10 eBay prevare da biste bili svjesni 10 eBay prevare da biste bili svjesni da su prevareni sranje, posebno na eBayu. Evo najčešćih eBay prijevara o kojima morate znati i kako ih izbjeći. zahtijeva malo budnosti i malo proaktivne prevencije. Između korištenja preglednika ili proširenja za blokiranje skripte, gledanja sumnjivih URL-ova i pažnje na neobična preuzimanja ili zahtjeva trebali biste biti u redu, čak i ako eBay ne riješi tu ranjivost (što vjerojatno neće, barem nakratko). Stoga napravite nekoliko brzih koraka i vratite se na uštedu tona novca kupnjom na eBayu 10 Savjeti za kupovinu na eBayu poput šefa 10 savjeta za kupovinu na eBayu poput šefa Ovi 10 savjeta za eBay pomoći će vam da optimizirate svoje pretraživanje i ponude uštedete mnogo novca na predmetima koje tražite. !

Kupujete li na eBayu? Zabrinjava li se njihov zapis o nepostupanju na sigurnosne ranjivosti? Postoji li manja vjerojatnost da ćete tamo kupovati jer nisu dobro reagirali na prijavljivanje ove određene bube? Podijelite svoja razmišljanja u nastavku!

Image Credits: hacker by Photosani via Shutterstock




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.